Baixe o app para aproveitar ainda mais
Prévia do material em texto
* * GESTÃO DA SEGURANÇA EM REDES E DISPOSITIVOS COMPUTACIONAIS STATEFUL FIREWALL E NEXT GENERATION FIREWALL * * Packet filtering Stateless packet filter Stateful packet filter Application Proxy Deep packet inspection SEGURANÇA LÓGICA FIREWALL * * FIREWALL É uma solução de segurança baseada em hardware ou software, também conhecido como “parede corta-fogo”, separando através de critérios, materializado por regras, a rede interna da externa (INTERNET). SEGURANÇA LÓGICA FIREWALL * * BOA PRÁTICA - FIREWALL Uma boa prática é a rede interna ficar atrás do firewall, para obrigar todo o tráfego entrando ou saindo da rede ser submetido a analise, com a finalidade de bloquear o tráfego indesejado e liberar o tráfego desejado e autorizado. SEGURANÇA LÓGICA FIREWALL * * LINUX - FIREWALL O firewall mais popular do LINUX é o netfilter, popularizado por sua interface iptables. SEGURANÇA LÓGICA FIREWALL * * CONFIGURAÇÃO MANUAL - FIREWALL 1º Passo – Definir a Política de Segurança (security policy): RESTRITIVA - todo tráfego é bloqueado, exceto o que está explicitamente autorizado; PERMISSIVA - todo tráfego é permitido, exceto o que está explicitamente bloqueado (negado) SEGURANÇA LÓGICA FIREWALL * * CONFIGURAÇÃO MANUAL - FIREWALL 2º Passo - Pensar as regras levando em conta o sentido do fluxo; 3º Passo – Ordenar as regras da mais específica para a mais genérica. SEGURANÇA LÓGICA FIREWALL * * PACKET FILTERING (FILTRO DE PACOTES) • Surgiu na década de 80, também conhecido como filtragem estática; • Analisa as informações do cabeçalho dos datagramas IP (pacotes) , como endereço IP de origem, destino, tamanho, tipo de serviço etc; SEGURANÇA LÓGICA FIREWALL * * PACKET FILTERING (FILTRO DE PACOTES) • Dificuldade em filtrar protocolos que utilizam portas dinâmicas; • PERMITE explorar vulnerabilidades de protocolos e serviços da camada de aplicação. SEGURANÇA LÓGICA FIREWALL * * STATELESS PACKET FILTER • Evolução do filtro de pacotes; Desempenha todas as funções do filtro de pacotes; • Analisa mais detalhes que o filtro de pacotes (flags TCP); • Metodologia intermediária entre o filtro de pacotes e o stateful firewall; • IPCHAINS é sua implementação no Linux. SEGURANÇA LÓGICA FIREWALL * * STATEFUL PACKET FILTER Conhecido como filtro dinâmico; Utiliza um conjunto de regras de filtragem e informações de estado das conexões; A primeira filtragem ocorre com o primeiro pacote (SYN), depois o filtro SPF cria uma entrada para essa conexão (sessão) na tabela de estados SEGURANÇA LÓGICA FIREWALL * * CABEÇALHO IPv4 * * CABEÇALHO TCP * * PACKET FILTER Trata todo o cabeçalho IP (20 bytes) e as portas de origem e destino (4 bytes). * * STATELESS Trata todo o cabeçalho IP (20 bytes); as portas de origem e destino (4 bytes) e em geral analisa os FLAGs de conexão do TCP. NÃO trata o estado da conexão. * * STATEFUL Trata todo o cabeçalho IP (20 bytes); Trata todo o cabeçalho TCP (20 bytes) ou UDP (8 bytes) ou ICMP. TRATA o estado da conexão. O STATEFUL pode realizar o tratamento como se fosse PACKET FILTER ou STATELESS * * COMPARAÇÃO DOS TIPOS FIREWALL STATEFUL – trata no mínimo 40 bytes (H IP e H Transporte) PACKET FILTER – trata de 20 a 24 bytes STATELESS – trata pouco mais de 24 bytes (FLAGs) * * FERRAMENTAS DE FIREWALL Exemplos de firewalls: Linux Kernel 2.0.x IPF – Packet FilterB IPFWADM – Packet Filter Linux Kernel 2.2.x Ipchains – Stateless Sinus – Packet Filter * * Exemplos de firewalls: Linux Kernel 2.4.x / 2.6.x Netfilter (iptables) – Stateful Outras soluções Open Source: IPFW – FreeBSD PF – OpenBSD e FreeBSD 5.x IPFilter - Solaris 10 FERRAMENTAS DE FIREWALL * * Dual-homed host Screened Host Screened Subnet ARQUITETURA DE FIREWALL * * Dual-homed host Screened Host Screened Subnet ARQUITETURA DE FIREWALL * * Dual-homed host Screened Host Screened Subnet ARQUITETURA DE FIREWALL * * Dual-homed host Screened Host Screened Subnet ARQUITETURA DE FIREWALL * * ARQUITETURA DE FIREWALL Dual-homed host Screened Host Screened Subnet * * ARQUITETURA DE FIREWALL Dual-homed host Screened Host Screened Subnet * * APPLICATION PROXY – MÉTODOS DE UTILIZAÇÃO Conexão direta - configurando o navegador; Proxy de Autenticação – usuário se identifica e autentica; Proxy Transparente – NÃO configura o navegador, o usuário não tem o conhecimento da existência do proxy ou que o utiliza. SEGURANÇA LÓGICA FIREWALL * * APPLICATION PROXY Conhecido como firewall de aplicação, proxy de serviços ou simplesmente proxy; Permite análise e filtragem até a camada de aplicação; Necessita de 2 conexões: Cliente - Proxy; Proxy - Servidor. SEGURANÇA LÓGICA FIREWALL * * APPLICATION PROXY - VANTAGENS Impor restrições com base em: horários, login, endereço IP etc Cache de páginas e arquivos; Registra todos os acesso (LOGs) SEGURANÇA LÓGICA FIREWALL * * APPLICATION PROXY - DESVANTAGENS Pode utilizar servidores diferentes para cada aplicação (serviço); Aumenta o atraso ao acessar um serviço. SEGURANÇA LÓGICA FIREWALL * * Considerado a evolução do FIREWALL e pode ser visto como a intregração de: Intrusion Detection (IDS); Intrusion Prevention (IPS) e Stateful firewall. DEEP PACKET INSPECTION - DPI * * Anteriormente acompanhamos a linha do tempo: Filtro de pacotes – todo o tráfego (ambos sentidos) tem uma regra para permitir ou negar; Stateless firewall – passou a analisar as portas; Stateful firewall – criava regras dinamicamente utilizando como base a reação prevista dos protocolos (inspeção inteligente); DEEP PACKET INSPECTION - DPI * * Anteriormente acompanhamos a linha do tempo: Application proxy – não foram capazes de controlar as novas ameaças. A multiplicidade de aplicações a serem controladas, agregado à latência adicionada pelo proxy, diminuiram a demanda por esse serviço. DEEP PACKET INSPECTION - DPI * * NOVAS DEMANDAS Aplicações emergentes, necessitam verificação em wire-speed, utilização de XML e Simple Object Access Protocol (SOAP). Aplicativos que modificam suas portas de comunicação; Utilização de tunelamento em protocolos normalmente autorizados (TCP porta 80 – HTTP) DEEP PACKET INSPECTION - DPI * * VISÃO DO DPI Verificar o conteúdo do payload da aplicação, para tomar decisão baseado no conteúdo desses dados; DEEP PACKET INSPECTION - DPI * * TÉCNICAS DO DPI (herdadas dos IDS) Análise baseada em assinaturas; Estatísticas; Anomalias. DEEP PACKET INSPECTION - DPI * * WIRE-SPEED - DPI ASICs - Application Specific Integrated Circuits ou NPUs – Network Processing Units DEEP PACKET INSPECTION - DPI * * EXEMPLO NECESSIDADE DPI O cliente 200.0.0.1 acessa o servidor de e-mail 200.10.10.1, acesso permitido. DEEP PACKET INSPECTION - DPI * * EXEMPLO NECESSIDADE DPI DEEP PACKET INSPECTION - DPI * * EXEMPLO NECESSIDADE DPI DEEP PACKET INSPECTION - DPI * * LEVANTAMENTO DE CONTAS E-MAIL VÁLIDAS VRFY – confirma nomes de usuários válidos EXPN – revela os endereços de entrega reais de apelidos e listas de distribuição DEEP PACKET INSPECTION - DPI * * EXEMPLO NECESSIDADE DPI DEEP PACKET INSPECTION - DPI Negar esta conexão Negar o cliente totalmente * * DEEP PACKET INSPECTION - DPI OUTRO EXEMPLO: Explorar Remote Buffer Overflow in Sendmail CERT Advisory CA-2003-12 http://memoria.rnp.br/cais/alertas/2003/ca200312.html * * PRÓXIMA AULA Você conhecerá o que é vulnerabilidade das redes de computadores e seus hosts, as entidades que tratam de segurança no mundo e no Brasil. ANÁLISE DE VULNERABILIDADES EM REDES DE COMPUTADORES
Compartilhar